Questo documento consiglia una sequenza di attività di audit logging per aiutarti a: a mantenere la sicurezza e a ridurre al minimo i rischi.
Questo documento non è un elenco esaustivo delle raccomandazioni. L'obiettivo è invece per aiutarti a comprendere l'ambito delle attività e dei piani di audit logging di conseguenza.
Ogni sezione fornisce azioni chiave e include link per ulteriori letture.
Informazioni su Cloud Audit Logs
Gli audit log sono disponibili per la maggior parte dei servizi Google Cloud. Cloud Audit Logs fornisce i seguenti tipi di audit log per ogni Progetto, cartella e organizzazione Google Cloud:
| Tipo di audit log | Configurabile | Addebitabile |
|---|---|---|
| Audit log delle attività di amministrazione | No. sempre scritto | No |
| Audit log degli accessi ai dati | Sì | Sì |
| Audit log negati da criteri | Sì; puoi escludere la scrittura di questi log nei bucket di log | Sì |
| Audit log degli eventi di sistema | No. sempre scritto | No |
Gli audit log di accesso ai dati, tranne quelli di BigQuery, sono disabilitati predefinito. Se vuoi che gli audit log di accesso ai dati vengano scritti per Google Cloud , devi abilitarli esplicitamente; per maggiori dettagli, vedi Configura gli audit log di accesso ai dati su questo .
Per informazioni sul panorama generale dell'audit logging con Google Cloud, consulta la panoramica di Cloud Audit Logs.
Controllo dell'accesso ai log
Data la sensibilità dei dati di audit logging, è particolarmente importante configurare i controlli di accesso appropriati per gli utenti della tua organizzazione.
A seconda dei requisiti di conformità e di utilizzo, imposta questi controlli dell'accesso come segue:
- Impostare le autorizzazioni IAM
- Configura le visualizzazioni dei log.
- Impostare i controlli di accesso a livello di campo per le voce di log
Impostazione delle autorizzazioni IAM
Autorizzazioni IAM e roles determinano gli utenti possibilità di accedere agli audit log nell'API Logging, Esplora log e Google Cloud CLI. Utilizza le funzionalità di IAM per concedere l'accesso granulare a nei bucket Google Cloud e impedire l'accesso indesiderato ad altre risorse.
I ruoli basati su autorizzazioni che concedi agli utenti dipendono dal loro le funzioni relative al controllo all'interno dell'organizzazione. Ad esempio, potresti concedere al CTO ampie autorizzazioni amministrative, mentre il team di sviluppatori potrebbero richiedere autorizzazioni per la visualizzazione dei log. Per indicazioni sui ruoli concedere agli utenti della tua organizzazione, consulta configurazione dei ruoli per l'audit logging.
Quando imposti le autorizzazioni IAM, applica il principio di sicurezza privilegio minimo, in modo da concedere agli utenti solo l'accesso necessario alle tue risorse:
- Rimuovi tutti gli utenti non essenziali.
- Concedi agli utenti essenziali le autorizzazioni corrette e minime.
Per istruzioni sull'impostazione delle autorizzazioni IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Configurazione delle visualizzazioni log
Tutti i log, inclusi gli audit log, ricevuti da Logging vengono scritti in container di archiviazione chiamati bucket di log. Le visualizzazioni dei log ti consentono di controllare chi: ai log all'interno dei bucket di log.
Poiché i bucket di log possono contenere log di più progetti Google Cloud, potresti dover controllare quali progetti Google Cloud possono visualizzare i log. Crea visualizzazioni di log personalizzate, che ti consentono di accedere in modo più granulare. per i bucket.
Per istruzioni sulla creazione e sulla gestione delle visualizzazioni dei log, consulta Configura le visualizzazioni dei log su un bucket di log.
Imposta i controlli di accesso a livello di campo del log
I controlli dell'accesso a livello di campo ti consentono di nascondere agli utenti singoli campi LogEntry
di un progetto Google Cloud, in modo da avere
un modo più granulare per controllare i log.
ai dati a cui l'utente può accedere. Rispetto alle visualizzazioni dei log, che nascondono le
l'intero LogEntry, controlli di accesso a livello di campo nasconde i singoli campi dell'
LogEntry. Ad esempio, potresti voler oscurare le PII degli utenti esterni, come una
indirizzo email contenuto nel payload della voce di log, dalla maggior parte dei
utenti dell'organizzazione.
Per istruzioni sulla configurazione dei controlli di accesso a livello di campo, vedi Configurare l'accesso a livello di campo.
Configurazione degli audit log di accesso ai dati
Quando abiliti nuovi servizi Google Cloud, valuta se abilitarli o meno Audit log degli accessi ai dati.
Gli audit log di accesso ai dati aiutano l'Assistenza Google a risolvere i problemi relativi alle tue . Pertanto, consigliamo di abilitare gli audit log di accesso ai dati, se possibile.
Per abilitare tutti gli audit log per tutti i servizi, segui le istruzioni per aggiornare il criterio Identity and Access Management (IAM) con la configurazione indicata nel norme di controllo.
Dopo aver definito il criterio di accesso ai dati a livello di organizzazione e aver attivato i dati, Accedi agli audit log, utilizza un progetto Google Cloud di test per convalidare configurazione della raccolta di audit log prima di creare gli sviluppatori progetti Google Cloud di produzione nell'organizzazione.
Per istruzioni sull'abilitazione degli audit log di accesso ai dati, consulta Abilitare gli audit log di accesso ai dati.
Controlla le modalità di archiviazione dei log
Puoi configurare alcuni aspetti dei bucket della tua organizzazione e anche creare bucket definiti dall'utente per centralizzare o suddividere l'archiviazione dei log. In base a requisiti di conformità e utilizzo, può essere utile personalizzare i log spazio di archiviazione come segue:
- Scegli dove archiviare i log.
- Definisci il periodo di conservazione dei dati.
- Proteggi i tuoi log con le chiavi di crittografia gestite dal cliente (CMEK).
Scegli dove archiviare i log
Nei bucket Logging sono risorse a livello di regione, ovvero l'infrastruttura che archivia, indicizza e cerca i log in una sessione posizione geografica.
La tua organizzazione potrebbe dover archiviare i dati dei log in regioni specifiche. I fattori principali nella selezione della regione in cui sono archiviati i log includono: soddisfare i requisiti di latenza, disponibilità o conformità della tua organizzazione.
ad applicare automaticamente una determinata regione di archiviazione alla nuova
_Default e _Required bucket creati nella tua organizzazione, puoi
e configurare una località delle risorse predefinita.
Per istruzioni sulla configurazione delle località delle risorse predefinite, consulta Configura le impostazioni predefinite per le organizzazioni.
Definisci i periodi di conservazione dei dati
Cloud Logging conserva i log in base alle regole di conservazione applicabili al log. un tipo di bucket in cui sono conservati i log.
Per soddisfare le tue esigenze di conformità, configura Cloud Logging in modo da conservare i log tra 1 giorno e 3650 giorni. Le regole di conservazione personalizzate si applicano a tutti log in un bucket, indipendentemente dal tipo di log o dal fatto che il log sia stato copiato da un'altra posizione.
Per istruzioni sull'impostazione di regole di conservazione per un bucket di log, consulta Configura la conservazione personalizzata.
Proteggi i tuoi audit log con chiavi di crittografia gestite dal cliente
Per impostazione predefinita, Cloud Logging cripta i contenuti archiviati inattivi dei clienti. Il tuo un'organizzazione potrebbe avere requisiti di crittografia avanzati che la crittografia at-rest non fornisce. Per soddisfare i requisiti della tua organizzazione: invece che Google gestisca le chiavi di crittografia della chiave che proteggono i tuoi dati, configurare le chiavi di crittografia gestite dal cliente (CMEK) per controllare e gestire le tue la crittografia.
Per istruzioni su come configurare CMEK, vedi Configura CMEK per l'archiviazione dei log.
Prezzi
Cloud Logging non addebita alcun costo per il routing dei log a un
destinazione supportata; ma la destinazione potrebbe applicare dei costi.
Ad eccezione del bucket di log _Required,
Cloud Logging addebita un costo per trasferire i log nei bucket di log.
per un'archiviazione più lunga del periodo di conservazione predefinito del bucket di log.
Cloud Logging non addebita alcun costo per la copia dei log o per le query eseguite tramite Esplora log o tramite la pagina Analisi dei log.
Per ulteriori informazioni, consulta i seguenti documenti:
- Riepilogo dei prezzi di Cloud Logging
Costi di destinazione:
- Costi per la generazione di log di flusso VPC si applicano quando invii e poi escludi i log di flusso Virtual Private Cloud da Cloud Logging.
Durante la configurazione e l'utilizzo degli audit log, ti consigliamo quanto segue best practice relative ai prezzi:
Fai una stima delle fatture visualizzando il tuo utilizzo dati e configurazione dei criteri di avviso.
Tieni presente che gli audit log di accesso ai dati possono essere grandi e che potresti comporta costi aggiuntivi per l'archiviazione.
Gestisci i costi escludendo i log di controllo che non sono utili. Ad esempio, probabilmente puoi escludere gli audit log di accesso ai dati di sviluppo software.
Query e visualizzazione degli audit log
Se devi risolvere i problemi, la possibilità di esaminare rapidamente i log è requisito. Nella console Google Cloud, utilizza Esplora log per recuperare le voci del log di controllo per la tua organizzazione:
-
Nella console Google Cloud, vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona la tua organizzazione.
Nel riquadro Query, procedi nel seguente modo:
In Tipo di risorsa, seleziona la risorsa Google Cloud la cui di controllo degli audit log che vuoi visualizzare.
In Nome log, seleziona il tipo di audit log che vuoi visualizzare:
- Per gli audit log per le attività di amministrazione, seleziona attività.
- Per gli audit log di accesso ai dati, seleziona data_access.
- Per gli audit log degli eventi di sistema, seleziona system_event.
- Per gli audit log relativi ai criteri negati, seleziona policy.
Se non vedi queste opzioni, significa che non sono presenti log di controllo disponibile nell'organizzazione.
Nell'editor query, specifica ulteriormente le voci di audit log che ti interessano. per scoprirlo. Per esempi di query comuni, consulta Esempi di query con Esplora log.
Fai clic su Esegui query.
Per ulteriori informazioni sull'esecuzione di query utilizzando Esplora log, consulta Crea query in Esplora log.
Monitora gli audit log
Puoi utilizzare Cloud Monitoring per ricevere una notifica quando le condizioni che descrivi che si verificano. Per fornire a Cloud Monitoring i dati dei tuoi log, Logging consente di creare criteri di avviso basati su log, che ti avvisano ogni volta che un evento specifico viene visualizzato in un log.
Configurare criteri di avviso per distinguere gli eventi che richiedono di ricerca rispetto a eventi a bassa priorità. Ad esempio, se vuoi sapere quando un audit log registra un determinato messaggio di accesso ai dati, puoi creare un criterio di avviso basato su log che corrisponde al messaggio e ti avvisa quando .
Per istruzioni sulla configurazione dei criteri di avviso basati su log, consulta Gestione dei criteri di avviso basati su log.
Esegui il routing dei log nelle destinazioni supportate
La tua organizzazione potrebbe essere sottoposta a requisiti per la creazione e la conservazione di controlli logaritmi. Con i sink, puoi eseguire il routing di alcuni tutti i tuoi log nelle seguenti destinazioni supportate:
- Cloud Storage
- Pub/Sub incluse terze parti come Splunk
- BigQuery
- Un altro bucket Cloud Logging
Determina se hai bisogno di sink a livello di cartella o di organizzazione e ed eseguire il routing dei log di tutti i progetti Google Cloud all'interno dell'organizzazione. utilizzando sink aggregati. Per Ad esempio, potresti considerare i seguenti casi d'uso relativi al routing:
Sink a livello di organizzazione: se la tua organizzazione utilizza una piattaforma SIEM per gestire più log di controllo, è consigliabile indirizzare tutti i dati e gli audit log. Di conseguenza, un sink a livello di organizzazione ha senso.
Sink a livello di cartella: a volte potresti voler eseguire il routing solo dei reparti e gli audit log. Ad esempio, se hai un account "Finanza" cartella "IT" , potresti trovare utile eseguire il routing degli audit log appartenente al gruppo "Finanza" cartella o viceversa.
Per ulteriori informazioni su cartelle e organizzazioni, vedi Gerarchia delle risorse.
Applica alla destinazione Google Cloud gli stessi criteri di accesso che hai per eseguire il routing dei log quando hai applicato la funzionalità a Esplora log.
Per istruzioni sulla creazione e sulla gestione dei sink aggregati, consulta Facolta e instrada i log a livello di organizzazione verso le destinazioni supportate.
Informazioni sul formato dei dati nelle destinazioni sink
Quando esegui il routing degli audit log su destinazioni esterne a Cloud Logging, il formato dei dati inviati.
Ad esempio, se esegui il routing dei log in BigQuery, Cloud Logging applica regole per abbreviare i nomi dei campi dello schema BigQuery log di controllo e per alcuni e strutturati per i campi payload strutturati.
Per comprendere e trovare le voci di log instradate da cui hai eseguito il routing. per le destinazioni supportate, consulta Visualizza i log nelle destinazioni sink.
Copia delle voci di log
A seconda delle esigenze di conformità della tua organizzazione, potresti dover condividere le voci degli audit log con revisori esterni a Logging. Se hai bisogno per condividere voci di log già archiviate nei bucket Cloud Logging, puoi copiarli manualmente nei bucket Cloud Storage.
Quando copi le voci di log in Cloud Storage, anche le voci di log nel bucket di log da cui sono stati copiati.
Tieni presente che le operazioni di copia non sostituiscono , che inviano automaticamente tutte le voci di log in entrata a un destinazione di archiviazione supportata, tra cui di archiviazione ideale in Cloud Storage.
Per istruzioni sul routing dei log a Cloud Storage in modo retroattivo, consulta Copiare le voci di log.